2019-1427: Squid: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-07-15 15:24): Neues Advisory
Version 2 (2019-07-23 10:14): Für Fedora 29 steht ein Sicherheitsupdate auf die Squid Version 4.8 in Form des Paketes 'squid-4.8-1.fc29' im Status 'testing' zur Verfügung.
Version 3 (2019-08-06 11:23): Für Fedora 29 steht ein neues Sicherheitsupdate in Form des Pakets 'squid-4.8-2.fc29' im Status 'testing' bereit. Das zuvor veröffentlichte Sicherheitsupdate FEDORA-2019-75a6f3b711 (Fedora 29, squid-4.8-1.fc29) wurde in den Status 'obsolete' überführt (Referenz hier entfernt).
Version 4 (2019-08-26 13:19): Für die Debian Distribution Buster (stable) steht ein Sicherheitsupdate für Squid auf die Version 4.6-1+deb10u1 zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in Squid ausnutzen, um möglicherweise beliebigen Programmcode auszuführen, verschiedene Denial-of-Service (DoS)- oder Cross-Site-Scripting (XSS)-Angriffe durchzuführen und Informationen auszuspähen.

Der Hersteller informiert über die Schwachstellen in verschiedenen Versionen der Software und stellt Squid 4.8 als Sicherheitsupdate bereit. Für Squid 3.x und Squid 4 stehen zusätzlich Patches zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2019-12525

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

CVE-2019-12527

Schwachstelle in Squid ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-12529

Schwachstelle in Squid ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-12854